Во вторник палатой представителей Конгресса США был представлен законопроект, предполагающий более активное вовлечение регуляторов в вопросы кибербезопасности автотранспорта.

Закон «Об исследовании безопасности и приватности личных автомобилей» 2017 года (SPY Car Study Act of 2017), предложенный Тедом Лю (Ted Lieu) и Джо Уилсоном (Joe Wilson), предполагает проведение Национальной администрацией безопасности дорожного движения исследования о необходимых стандартах безопасности автотранспорта. Соответствие этим стандартам может стать обязательным для всех автомобилей, производимых в США или импортируемых из-за рубежа.

Похожий законопроект от 2015 года, принятие которого лоббировал сенатор Эдвард Марки (Edward Markey), призывал к гораздо более строгому контролю над безопасностью электронных систем управления автомобилем и данных, собираемых такими системами, со стороны Национальной администрации безопасности дорожного движения.

Новый законопроект призывает к проведению администрацией всеобъемлющего исследования безопасности совместно с Федеральной торговой комиссией, институтом NIST и другими участниками отрасли. Предварительные итоги должны быть оглашены через год, а еще через шесть месяцев должен быть готов финальный отчет, содержащий сроки формирования и применения требований к безопасности автомобиля и рекомендации относительно самих требований.

«Каждый гражданин США должен быть уверен в безопасности своего автомобиля. Когда мы думаем о кибербезопасности, мы не всегда учитываем ее важность для транспорта. Но ввиду развития Интернета вещей практически все окружающие нас объекты будут подключены к Интернету, включая автомобили, — сказал Лю. — Если мы не будем соблюдать меры предосторожности, хакеры смогут превратить наши машины в оружие».

Йони Хейлбронн (Yoni Heilbronn), один из руководителей компании Argus Cyber Security, специализирующейся на кибербезопасности автомобилей, признался, что законопроект вызвал у него смешанные чувства. Он согласился, что предложение палаты представителей положительно повлияет на общий дискурс, но при этом вспомнил, что правительство считает, что автомобильная отрасль прогрессирует слишком медленно. По словам Хейлбронна, в прошлом году он посетил панельную дискуссию, на которой сенатор Гэри Питерс (Gary Peters), представитель Демпартии из Мичигана, призвал участников отрасли быть более инициативными в вопросах повышения кибербезопасности.

«Он просил, чтобы отрасль занялась вопросами безопасности самостоятельно, не ожидая, пока подтянутся регуляторы, — сказал Хейлбронн. — Если будут представлены новые регулятивные нормы, они могут быть еще более строгими, чем те правила, которые отрасль создала бы самостоятельно».

Новый законопроект требует, чтобы Национальная администрация по безопасности дорожного движения определила ряд критических сфер, которые могут пострадать от действий хакеров; исследователи Чарли Миллер (Charlie Miller) и Крис Валасек (Chris Valasek), а также исследователи из Университета Калифорнии в Сан-Диего уже продемонстрировали несколько атак, в ходе которых эксплуатировали уязвимости в электронных системах нескольких моделей автомобилей.

Законопроект SPY Car Study Act of 2017 требует от властей исследовать, как наилучшим образом изолировать критическое ПО от других программных кодов, исполняемых в системах автомобиля, а также определить методы выявления уязвимостей и аномалий кода, указывающих на компрометацию. Также им предстоит подумать над внедрением средств оценки рисков по требованию и над постоянным пентестингом критических систем автомобиля. Наконец, им предстоит сформировать практические рекомендации по обеспечению безопасности данных о вождении, которые собираются и хранятся в автомобилях и вне автомобилей, а также данных в процессе передачи.

Хейлбронн сказал, что некоторые представители автомобильной отрасли особенно внимательны к вопросам кибербезопасности; например, Jeep быстро запатчил уязвимости в развлекательной системе UConnect, атаку на которую продемонстрировали Миллер и Валасек, а также отозвал беспрецедентное количество автомобилей.

«Если спросить мнение сенаторов Марки и Питерса, отрасль медленно реагирует на угрозы кибербезопасности, — сказал Хейлбронн. — Они ясно дали понять, что отрасль должна двигаться вперед и никого не ждать».

В марте прошлого года ФБР и Национальная администрация по безопасности дорожного движения выпустили совместное предупреждение в адрес автомобильной отрасли, в котором подчеркнули высокую опасность наличия незакрытых уязвимостей, из-за чего автомобили могут быть подвержены атакам. ФБР заявило, что бреши в системах типа UConnect и в отдельно встраиваемых устройствах представляют «высокие риски для безопасности водителя».

«Я никогда не видел такие заявления, — сказал Хейлбронн. — Это просто неслыханно. Это свидетельствует о том, что власти мыслят в правильном направлении и понимают, что эти проблемы безопасности нужно решить. Если появятся регулятивные нормы, они в конечном итоге будут внедрены. Вопрос в том, сколько понадобится ждать автомобильной отрасли, прежде чем она сможет полноценно заняться проблемой».

Категории: Главное, Кибероборона, Уязвимости